Hier auch ein Virus Burst - PornMag PassThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.09.2006, 09:56
...neu hier
Beiträge: 5 |
||
|
||
18.09.2006, 09:58
Ehrenmitglied
Beiträge: 29434 |
#2
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 10:01
...neu hier
Themenstarter Beiträge: 5 |
#3
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 280A-807D Verzeichnis von C:\Programme\PornMag Pass 16.09.2006 16:09 <DIR> . 16.09.2006 16:09 <DIR> .. 16.09.2006 16:02 25.088 iesplugin.dll 16.09.2006 16:02 9.216 iesuninst.exe 18.09.2006 09:45 13.312 isaddon.dll 18.09.2006 09:45 5.120 isamini.exe 16.09.2006 16:02 28.672 isamonitor.exe 16.09.2006 16:02 9.728 isauninst.exe 16.09.2006 16:02 4.286 ot.ico 18.09.2006 09:45 2.432 pmmon.exe 16.09.2006 16:02 10.872 pmsngr.exe 16.09.2006 16:02 9.728 pmuninst.exe 16.09.2006 16:02 4.286 ts.ico 11 Datei(en) 122.740 Bytes 2 Verzeichnis(se), 36.588.048.384 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 280A-807D Verzeichnis von C:\Programme 30.05.2005 15:16 <DIR> Microsoft Visual Studio 31.05.2005 08:07 <DIR> NetMeeting 16.02.2006 09:03 <DIR> Outlook Express 16.09.2006 16:09 <DIR> PornMag Pass 30.05.2005 15:14 <DIR> Snapshot Viewer 31.05.2005 09:49 <DIR> Tobit InfoCenter 18.09.2006 09:13 <DIR> Virus-Burst 28.09.2005 08:40 <DIR> WexTech 30.05.2005 12:42 <DIR> Windows Media Player 30.05.2005 12:43 <DIR> Windows NT 31.05.2005 08:06 <DIR> WinZip 30.05.2005 08:33 <DIR> Zubeh”r 0 Datei(en) 0 Bytes 29 Verzeichnis(se), 36.588.048.384 Bytes frei |
|
|
||
18.09.2006, 10:13
Ehrenmitglied
Beiträge: 29434 |
#4
Brandi
Anleitung: http://virus-protect.org/artikel/spyware/pornmagpass_remove.html ueber Media-Codecs gelangt der Zlob-Trojaner auf den Rechner, man laedt gleichzeitig andere Malware mit runter, und wird durch PopUps (Security Alert: Spyware found) aufgefordert, angebliche Virenscanner zum Entfernen der Schadware zu kaufen. ----------------------------------------------------------------------- 1. mediacodec.zip laden http://virus-protect.org/zip/mediacodec.zip entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - syycum.dll [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] loeschen hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] loeschen {6076d2b1-634c-4685-843b-f826045ea5dc} --------------------------------------------------------------- 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\PornMag Pass\isaddon.dll5. scanne mit smitfraud http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 10:32
...neu hier
Themenstarter Beiträge: 5 |
#5
Habe alles so gemacht, die Symtome sind weg. Das ist der scanbericht mit SmitFraudFix:
SmitFraudFix v2.91 Scan done at 10:31:05,84, Mo 18.09.2006 Run from C:\Dokumente und Einstellungen\brandst\Desktop\SmitfraudFix OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\brandst\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\brandst\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End War`s das? Ist jetzt alles runter? |
|
|
||
18.09.2006, 10:36
Ehrenmitglied
Beiträge: 29434 |
#6
ja, es ist alles wieder o.k.
loesche das backup vom Avenger unter c:\Avenger\backup.zip -------------- noch mal in der Registry nachsehen: Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren) PornMag Pass Virus-Burst hemadynamometer in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 10:42
...neu hier
Themenstarter Beiträge: 5 |
#7
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 18.09.2006 10:41:37 for strings: ; 'pornmag pass virus-burst hemadynamometer pornmag pass' ; 'virus-burst' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}\1.0\0\win32] @="C:\\Programme\\Virus-Burst\\Virus-Burst.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}\1.0\HELPDIR] @="C:\\Programme\\Virus-Burst\\" ; End Of The Log... |
|
|
||
18.09.2006, 10:55
Ehrenmitglied
Beiträge: 29434 |
#8
Avenger
Zitat registry keys to delete: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.09.2006, 10:58
...neu hier
Themenstarter Beiträge: 5 |
||
|
||
Hier das HiJack file:
Logfile of HijackThis v1.99.1
Scan saved at 09:37:12, on 18.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\PornMag Pass\isamonitor.exe
C:\Programme\PornMag Pass\pmsngr.exe
C:\WINNT\System32\igfxtray.exe
C:\Programme\PornMag Pass\isamini.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\PornMag Pass\pmmon.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\system32\NWTRAY.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\romana\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.baier-technik.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.8.254:8080
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\PornMag Pass\isaddon.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HPIJetSend] C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004954.exe
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINNT\system32\syycum.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Wäre nett, wenn mir jemand helfen könnte...